Боты Mozi готовы начать DDoS-атаку

2020-01-05 19:30

Китайские исследователи обнаружили новый p2p-ботнет, составленный из роутеров и IoT-устройств. Анализ лежащей в его основе вредоносной программы показал, что ее создатели позаимствовали часть кода Gafgyt/BASHLITE, в том числе реализацию функциональности, позволяющей проводить DDoS-атаки.

Linux-боты, которым в Qihoo 360 присвоили кодовое имя Mozi, распространяются посредством подбора паролей к службе Telnet, а также с помощью эксплойтов к давним уязвимостям, которые до сих пор присутствуют в некоторых подключенных к Интернету устройствах. За четыре месяца наблюдений специалисты компании выявили три версии Mozi, которые различаются лишь способом атаки на Telnet.

Список эксплойтов, которыми оперируют боты, содержит десяток позиций, в том числе CVE-2014-8361 (для устройств, использующих Realtek SDK), CVE-2016-6277 (роутеры Netgear R7000 и R6400), CVE-2017-17215 (Huawei HG532), CVE-2018-10561 и CVE-2018-10562 (GPON-роутеры Dasan). В этот перечень также входят три эксплойта для цифровых видеорегистраторов разных производителей.

Функции Mozi определены в конфигурационном файле. Как показал анализ, зловред способен:

генерировать мусорные запросы, создавая общий DDoS-поток типа HTTP flood, TCP flood, UDP flood;
собирать и сообщать пирам данные о заражении (ID бота, IP-адрес, порт, имя файла и полный путь, шлюз, архитектура ЦП);
загружать с указанного URL полезную нагрузку и запускать ее на исполнение;
загружать обновления с указанного URL;
выполнять системные или специальные команды.

Зловред также умеет защищаться от конкуренции, блокируя доступ к зараженному устройству по SSH и Telnet. Чтобы воспрепятствовать угону ботнета, авторы Mozi предусмотрели проверку подлинности и целостности синхронизируемых конфигурационных файлов. Каждый из них заверяется цифровой подписью, создаваемой по алгоритму ECDSA, 384-битные ключи которого вшиты в код зловреда и зашифрованы путем выполнения операции XOR.

Ботнет на основе Mozi построен как одноранговая сеть, при этом обмен информацией между пирами осуществляется по протоколу DHT. Из известных IoT-зловредов такой же способ распространения файлов используют Hajime и Rex, однако ботоводы Mozi создали собственный, расширенный вариант DHT, чтобы скрыть раздачу полезной нагрузки в обычном DHT-трафике.

Новый Linux-зловред общается с другими пирами, оперируя списком из восьми доступных адресов (IP и доменов), — таких групп в разных вариациях пока зафиксировано восемь. В конфигурационном файле Mozi также обозначены узлы начальной загрузки, через которые новоявленный бот может подключиться к p2p-сети.

Размеры ботнета, попавшего в поле зрения Qihoo 360 в начале сентября, неизвестны, однако исследователям удалось внедрить в него свой пир, и они надеются в скором времени получить представление о количестве активных узлов Mozi. Все собранные на настоящий момент данные пока лишь свидетельствуют о том, что число заражений растет.

Источник: m.vk.com



		Боты Mozi готовы начать DDoS-атаку
МЕНЮ Искусственный интеллект Поиск Регистрация на сайте Помощь проекту ТЕМЫ Новости ИИ Искусственный интеллект Голосовой помощник Городские сумасшедшие ИИ в медицине ИИ проекты Искусственные нейросети Слежка за людьми Угроза ИИ Разработка ИИ ИИ теория Компьютерные науки Машинное обуч. (Ошибки) Машинное обучение Машинный перевод Нейронные сети начинающим Реализация ИИ Реализация нейросетей Создание беспилотных авто Трезво про ИИ Философия ИИ Внедрение ИИ Big data Генетические алгоритмы Капсульные нейросети Основы нейронных сетей Распознавание лиц Распознавание образов Распознавание речи Техническое зрение Чат-боты Работа разума и сознание Изучение сна Изучение сознания Нейроинтерфейс Психология Работа мозга Работа памяти Работа разума Модель мозга Модель мозга Робототехника, БПЛА Беспилотные автомобили БПЛА Робототехника Трансгуманизм Трансгуманизм Обработка текста Анализ социальных сетей Компьютерная лингвистика Лингвистика Поисковые алгоритмы Теория эволюции Головной мозг Нейронные сети Поведение животных Теория эволюции Дополненная реальность Виртулаьная реальность Дополненная реальность Железо Интернет вещей Квантовые компьютеры Нейронные процессоры облачные вычисления Суперкомпьютеры Киберугрозы Кибербезопасность Научный мир Методы исследования Наука и образование Семинары ИТ индустрия ИТ-гиганты Новости ит Разработка ПО Разработка ПО Теория алгоритмов Теория информации Кластеризация Математика Актуальная математика Статистика Теория вероятности Теория информации Теория хаоса Цифровая экономика Технология блокчейн Цифровая экономика Авторизация RSS RSS новости		2020-01-05 19:30 кибербезопасность Китайские исследователи обнаружили новый p2p-ботнет, составленный из роутеров и IoT-устройств. Анализ лежащей в его основе вредоносной программы показал, что ее создатели позаимствовали часть кода Gafgyt/BASHLITE, в том числе реализацию функциональности, позволяющей проводить DDoS-атаки. Linux-боты, которым в Qihoo 360 присвоили кодовое имя Mozi, распространяются посредством подбора паролей к службе Telnet, а также с помощью эксплойтов к давним уязвимостям, которые до сих пор присутствуют в некоторых подключенных к Интернету устройствах. За четыре месяца наблюдений специалисты компании выявили три версии Mozi, которые различаются лишь способом атаки на Telnet. Список эксплойтов, которыми оперируют боты, содержит десяток позиций, в том числе CVE-2014-8361 (для устройств, использующих Realtek SDK), CVE-2016-6277 (роутеры Netgear R7000 и R6400), CVE-2017-17215 (Huawei HG532), CVE-2018-10561 и CVE-2018-10562 (GPON-роутеры Dasan). В этот перечень также входят три эксплойта для цифровых видеорегистраторов разных производителей. Функции Mozi определены в конфигурационном файле. Как показал анализ, зловред способен: генерировать мусорные запросы, создавая общий DDoS-поток типа HTTP flood, TCP flood, UDP flood; собирать и сообщать пирам данные о заражении (ID бота, IP-адрес, порт, имя файла и полный путь, шлюз, архитектура ЦП); загружать с указанного URL полезную нагрузку и запускать ее на исполнение; загружать обновления с указанного URL; выполнять системные или специальные команды. Зловред также умеет защищаться от конкуренции, блокируя доступ к зараженному устройству по SSH и Telnet. Чтобы воспрепятствовать угону ботнета, авторы Mozi предусмотрели проверку подлинности и целостности синхронизируемых конфигурационных файлов. Каждый из них заверяется цифровой подписью, создаваемой по алгоритму ECDSA, 384-битные ключи которого вшиты в код зловреда и зашифрованы путем выполнения операции XOR. Ботнет на основе Mozi построен как одноранговая сеть, при этом обмен информацией между пирами осуществляется по протоколу DHT. Из известных IoT-зловредов такой же способ распространения файлов используют Hajime и Rex, однако ботоводы Mozi создали собственный, расширенный вариант DHT, чтобы скрыть раздачу полезной нагрузки в обычном DHT-трафике. Новый Linux-зловред общается с другими пирами, оперируя списком из восьми доступных адресов (IP и доменов), — таких групп в разных вариациях пока зафиксировано восемь. В конфигурационном файле Mozi также обозначены узлы начальной загрузки, через которые новоявленный бот может подключиться к p2p-сети. Размеры ботнета, попавшего в поле зрения Qihoo 360 в начале сентября, неизвестны, однако исследователям удалось внедрить в него свой пир, и они надеются в скором времени получить представление о количестве активных узлов Mozi. Все собранные на настоящий момент данные пока лишь свидетельствуют о том, что число заражений растет. Источник: m.vk.com Комментарии:

Боты Mozi готовы начать DDoS-атаку

Комментарии: